522

33

–Положение о паспорте гражданина Российской Федерации, образец бланка и описание паспорта гражданина Российской Федерации, утвержденные Постановлением Правительства Российской Федерации от 8 июля 1997 г. № 828 (с последующими изменениями)1;

–Постановление Правительства Российской Федерации от 23 января 2006 г. № 32 «Об утверждении Правил оказания услуг связи по передаче данных» В соответствии с нормой пункта 4 указанного Постановления оператор связи обязан обеспечить соблюдение тайны информации, передаваемой по сети передачи данных. При этом сведения об абоненте-гражданине, ставшие известными оператору связи в силу исполнения договора об оказании услуг связи по передаче данных, могут использоваться оператором связи для оказания справочных и иных информационных услуг или передаваться третьим лицам только с письменного согласия этого абонента, за исключением случаев, предусмотренных федеральными законами. Согласие абонента-гражданина на обработку его персональных данных в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий не требуется2.

Согласно части 7 статьи 19 Федерального закона «О персональных данных» проекты подобных нормативных актов, подготавливаемые в дальнейшем, подлежат согласованию с ФСБ и ФСТЭК России.

В соответствии с нормами частей 6 и 7 ст. 19 Федерального закона «О персональных данных», наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 указанной статьи, ассоциации, союзы

ииные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных,

1Собр. законодательства Рос. Федерации. – 1997. – № 28, ст. 3444; 1999. – № 41, ст. 4918; 2001. – № 3, ст. 242; 2002. – № 4, ст. 330; 2003. – №27, ст. 2813; 2004. – № 5, ст. 374.

2Постановление Правительства Российской Федерации от 23 января 2006 г. № 32 «Об утверждении Правил оказания услуг связи по передаче данных» // Собр. законодательства Рос. Федерации. – 2006. – № 5, ст. 553.

34

характера и способов их обработки. Проекты таких решений также подлежат согласованию с ФСБ и ФСТЭК России. В случаях, когда указанные федеральные органы исполнительной власти отказывают в согласовании представленных им проектов, они обязаны мотивировать свое решение. В сфере защиты информации, составляющей персональные данные граждан, действует также совокупность подзаконных (ведомственных) нормативных правовых актов, основанных на нормах Конституции Российской Федерации и федеральных законов.

Например, в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»1 предлагается выделять персональные данные из информационных систем, содержащих информацию ограниченного доступа и защищаемых в режиме тайны, что во многих случаях не реализуемо. Выделение персональных данных из общего массива охраняемой информации создает для оператора проблему соотношения требований по технической защите информации, а также проблему соотношения прав и обязанностей субъектов в отношении защищаемой информации.

Согласно пункту 5 Приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»2 указанные требования применяются при обработке в государственной информационной системе информации, содержащей персональные данные наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 11193.

1Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // Российская газета. – 2013. – № 107. – 22 мая.

2Приказ ФСТЭК РФ от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // Российская газета. – 2013. – № 6112. – 26 июня.

3Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Российская газета. – 2012. – №5929. – 7 нояб.

35

3. Действующая в органах внутренних дел система защиты персональных данных: состояние, проблемы и пути их решения

Защита информации, в том числе персональных данных, осуществляется в системе МВД России в соответствии с нормами законодательства Российской Федерации о защите информации, а также иными нормативными правовыми актами Российской Федерации и государственными стандартами.

Обработка персональных данных в системе органов внутренних дел может осуществляться в следующих целях:

1)трудоустройства, содействия сотруднику в прохождении службы

ворганах внутренних дел, обучении и должностном росте, обеспечении личной безопасности сотрудника и работника, учете результатов выполнения им служебных обязанностей;

2)обработки данных физических лиц, совершивших административные правонарушения или уголовные преступления, осуществляемой для установления личности, документирования обстоятельств совершения административного правонарушения или уголовного преступления, составления протокола по делу об административном правонарушении или заполнения бумаг в уголовном деле, обеспечения установленного порядка производства по делам об административных правонарушениях или уголовных преступлениях.

Обработка персональных данных сотрудника включает производимые органами внутренних дел в лице уполномоченных его представителей (как правило – сотрудников кадрового аппарата) операции (действия):

а) по получению; б) хранению;

в) комбинированию; г) передаче персональных данных работника или иному их исполь-

зованию.

Согласно норме Федерального закона от 30 ноября 2011 г. № 342ФЗ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» для сотрудников внутренних дел, в отличие от военнослужа-

36

щих, отдельно прописана защита их персональных данных, что означает дополнительное предоставление гарантий по их защите:

–обработка персональных данных сотрудника осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, настоящего Федерального закона, других законодательных актов Российской Федерации;

–защита персональных данных сотрудника от неправомерного их использования или утраты обеспечивается за счет средств федерального органа исполнительной власти в сфере внутренних дел в порядке, установленном настоящим Федеральным законом и другими федеральными законами.

Обработка персональных данных осуществляется операторами, являющимися государственными или муниципальными органами в соответствии с Федеральным законом «О персональных данных», Федеральным законом «О полиции», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также другими нормативными правовыми актами Российской Федерации в области защиты информации.

В системе Министерства внутренних дел Российской Федерации вопросы указанных нормы федерального законодательства регламентированы, в частности, Положением о централизованном учете персональных данных сотрудника органов внутренних дел Российской Федерации и ведении его личного дела и Положением о централизованном учете персональных данных гражданина Российской Федерации, поступающего на службу в органы внутренних дел Российской Федерации1.

В соответствии с п.п. 2–3 Положения о централизованном учете персональных данных сотрудника органов внутренних дел Российской

1 Утверждены Приказом МВД России от 28 апреля 2014 г. № 381 «О некоторых вопросах централизованного учета персональных данных сотрудников ОВД Российской Федерации, граждан Российской Федерации, поступающих на службу в органы внутренних дел Российской Федерации». – С Прил. №№ 1, 2 // Российская газета. – 2014. – 6 авг. Федеральный выпуск №6447 (зарег. в Минюсте 4.06.2014 г., рег. № 32562).

37

Федерации и ведении его личного дела в органах внутренних дел Российской Федерации ведутся личные дела, документы учета сотрудников, банки данных о сотрудниках, содержащие персональные данные сотрудников, сведения об их служебной деятельности и стаже службы, а также персональные данные членов семей сотрудников. Централизованный учет персональных данных сотрудника осуществляют кадровые подразделения главных управлений, департаментов, управлений МВД России, Национального центрального бюро Интерпола МВД России, территориальных органов МВД России, образовательных, научных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел. Сотрудник, виновный в нарушении норм, регулирующих получение, хранение, обработку, использование и передачу персональных данных другого сотрудника, либо в утрате таких данных, несет ответственность в соответствии с Федеральным законом от 30 ноября 2011 г. 342-ФЗ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» и другими федеральными законами.

Без уведомления уполномоченного органа по защите прав субъектов персональных данных органы внутренних дел осуществляют обработку персональных данных в следующих случаях:

1)когда персональные данные обрабатываются в соответствии с трудовым законодательством;

2)получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3)субъект персональных данных сделал свои персональные данные общедоступными;

38

4)персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;

5)необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

6)включены в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

7)обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования

кобеспечению безопасности персональных данных при их обработке и

ксоблюдению прав субъектов персональных данных.

Координация и контроль деятельности по защите персональных данных при их автоматизированной обработке в системе органов внутренних дел осуществляется Департаментом информационных технологий, связи и защиты информации МВД России, который является единым координирующим и контролирующим органом по вопросам защиты персональных данных при их автоматизированной обработке.

В территориальных органах МВД России функции по осуществлению мероприятий по защите персональных данных при их автоматизированной обработке и контроле за их проведением подразделениями территориального органа возложены на подразделения информационных технологий, связи и защиты информации.

Руководители подразделений МВД России могут издавать локальные правовые акты по вопросам защиты персональных данных при ее обработке в информационных системах персональных данных.

Ответственными за соблюдение требований по защите персональных данных при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих информационные системы персональных данных, администраторы информационных систем персональных данных, пользова-

39

тели информационных систем персональных данных, непосредственно обрабатывающие персональные данные в информационных системах и инженерно-технический персонал, имеющий доступ к информационной системе.

Обязанности данных должностных лиц отражаются в соответствующих должностных регламентах (должностных инструкциях).

В системе органов внутренних дел действует утвержденная Приказом МВД России от 6 июля 2012 г. № 678 Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации (далее – Инструкция)1 и Методические рекомендации по обеспечению безопасности персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации от 1 октября 2013 г., исходящий № 1/9116.

Министерство внутренних дел Российской Федерации в соответствии со статьей 3 Федерального закона № 152-ФЗ, а также пунктом 3 Инструкции является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обеспечение выполнения требований законодательства о направлении оператором уведомления об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций возлагается на Департамент информационных технологий, связи и защиты информации Министерства внутренних дел Российской Федерации. Подразделение-оператор информационной системы персональных данных указанные уведомления в Роскомнадзор не направляет, поскольку подразделения МВД России операторами персональных данных не являются.

Непосредственно обработку персональных данных в информационной системе персональных данных осуществляют подразделения МВД

1 Приказ МВД России от 6 июля 2012 г. № 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации» // Российская газета. – 2012. – № 5903. – 5 окт.

40

России, определенные оператором в приказе МВД России о вводе информационной системы персональных данных в эксплуатацию.

Подразделения МВД России являются подразделениями-операторами информационной системы персональных данных при условии, что они осуществляют деятельность по эксплуатации информационной системы персональных данных, в том числе по обработке информации, содержащейся в ее базах данных.

В случаях, когда реализация мер по организации и обработке персональных данных в информационной системе персональных данных возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы персональных данных, утверждаемой приказом о вводе ее в эксплуатацию.

Инструкция также определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, в том числе полученных при трансграничной передаче, устанавливает методы и способы защиты информации в информационных системах персональных данных, а также определяет обязанности должностных лиц. Однако в Инструкции не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

Согласно пункту 4 Инструкции, координацию и контроль деятельности по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет также подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты персональных данных при их автоматизированной обработке.

Согласно пункту 5 Инструкции, оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку персональных данных в эксплуатируемых информационных системах.